IT 注目度 62

Cloudflare、脅威インテリジェンスをWAFに統合し「攻撃者名」での通信遮断を実現

※本記事の要約および解説はAIが自動生成しており、誤りが含まれる可能性があります。事実確認は元ニュースをご参照ください。

クラウドフレア（Cloudflare）は、ウェブアプリケーションファイアウォール（WAF）機能に高度な脅威インテリジェンスを取り込む新機能を発表しました。これにより、従来のIPアドレスベースの防御に加え、「特定の攻撃者名」「過去に標的とした業界」「攻撃元国」といった多角的な条件に基づいて通信を遮断できるようになります。

この新機能は、クラウドフレアが大量トラフィックから分析する「Threat Events（脅威イベント）」情報をWAFルール作成プロセスに直接組み込む点が画期的です。従来は、まず可視化された情報を見て手動で防御ルールを作成する必要がありましたが、今後はライブの脅威インテリジェンスをWAFエンジンに取り込み、攻撃が自社インフラに到達する前に既知の危険な通信を条件付きで遮断することが可能になりました。

具体的には、HTTPリクエスト処理の早い段階で脅威情報が付与され、ユーザーは「特定の攻撃グループに関連するIPアドレス」や「過去に金融業界を狙ったIPアドレス」など、詳細なメタデータに基づいたルール設定が可能です。この仕組みは、「always-on detection（常時検知）」という考え方に基づいており、事前の遮断ルールがない場合でもバックグラウンドで脅威分析を行い、必要に応じてブロックに切り替えられる柔軟性を持っています。

利用者はCloudflare Oneのサブスクリプションを持つことで、Threat EventsやDashboardから自動的に情報を取得し、防御ルールの有効化を進められます。また、「過去7日間に金融業界を攻撃していたIPアドレス」といった調査結果（Saved Views）をワンクリックでWAFルールに変換できるため、運用効率が大幅に向上します。

なお、照合対象は現時点ではIPアドレスベースですが、将来的にはJA3フィンガープリントやドメインベースの照合への拡張も計画されており、攻撃元IPアドレスを頻繁に変える高度な脅威に対しても防御力を発揮することが期待されています。

背景

近年、サイバー攻撃は巧妙化・多様化しており、単なるIPアドレスやパターンマッチングだけでは防御が困難になっています。企業は、リアルタイムで収集される膨大な脅威インテリジェンスをいかに迅速かつ自動的に防御システム（WAF）に反映させるかが課題でした。

重要用語解説

Threat Events: クラウドフレアが処理する大量トラフィックから、「どのIPアドレスがどの業界を攻撃しているか」など、具体的な脅威パターンや傾向を分析・可視化する機能。防御ルールの根拠となる情報源です。
WAF (Web Application Firewall): ウェブアプリケーション層の脆弱性を狙った不正アクセス（SQLインジェクションなど）からウェブサイトを守るセキュリティシステム。通信内容を検査し、危険なリクエストを遮断します。
JA3フィンガープリント: TLS通信の特徴（クライアントソフトウェアが持つ固有の指紋のような情報）を利用して、IPアドレスが変わっても攻撃に使われるクライアント側のソフトウェアやデバイスを識別する手法です。

今後の影響

本機能により、セキュリティ防御は「事後対応」から「予防的・予測的な防御」へと大きく進化します。企業は、より高度な脅威（特定のグループによる組織的な攻撃など）に対して、迅速かつ自動的に防御体制を構築できるようになり、サイバーレジリエンスが向上することが期待されます。

Information Sources:

https://gigazine.net/news/20260609-cloudflare-realtime-waf/